Monthly Archives: October 2016

MS petukõned

Riigi Infosüsteemi Ameti intsidentide käsitlemise osakond (CERT-EE) kirjutab “Microsofti” petukõnedest.

prillidega-onu

Allikas: http://www.scam-detector.com/telephone-scams/microsoft-tech-support

Petturid on alati meist üks samm ees, olles innovaatilised ja julged. Nüüd nad teevad petukõnesid ka Eestis. Microsofti (MS) kasutajatoe nime alt tehtud petukõnesid on tehtud 2009. aastast kogu maailmas, alates Ameerika Ühendriikidest, lõpetades Uus-Meremaaga.

Pettuse ülesehitus on lihtne: helistaja tutvustab end Microsofti kasutajatoe või partnerasutuse töötajana. Microsofti nime alt helistav pettur on viisakas ja väga abivalmis, ta väidab, et soovib sinu arvutit korrastada. Selleks räägib ta sulle loo, kuidas teda teavitati masina nakatumisest. Teise legendina võib ta rääkida, et kas arvuti ise või sinu asutuse IT-inimesed on edastanud abipalve MS kasutajatoele, kes nüüd justkui peaks parandama sinu arvutis ilmnenud probleeme.

Siinkohal mainime: MS on oma kasutajatoe lehel välja toonud, et nemad ei paku enda initsiatiivil tuge ega helista kasutajale kunagi omaalgatuslikult.

ms-jutt

Allikas: https://www.microsoft.com/en-us/safety/online-privacy/avoid-phone-scams.aspx

Petukõne eesmärgid olenevad petukampaaniast. Näiteks võib pettur üritada müüa sulle hirmuvara (scareware) tooteid, mis justkui leiavad sinu arvutist pahavara ning makstes summa X saad nendest pahalastest lahti nagu naksti.

On ka võimalus, et petturi eesmärk on varastada sinu kontode või krediitkaardi andmeid.

Hirmuvara pettus

must-kast

Allikas: https://www.welt.de/img/wirtschaft/webwelt/mobile116828023/2801629777-ci23x11-w1136/zgbdc5-6abh2opem4wd60yw1dj-original-png.jpg

Oma eesmärgi saavutamiseks paluvad petturid külastada teatud veebisaiti, kust pead tõmbama alla kaughaldustarkvara või pahavara. Kaughaldustarkvara, enamikul puhkudel tarkvara nimega TeamViewer, lubab telefoni otsas oleval petturil sinu masina üle võtta.

sinine-kast

Allikas: https://upload.wikimedia.org/wikipedia/en/thumb/7/71/TeamViewer_Screenshot_on_a_machine_running_Windows_8.png/300px-TeamViewer_Screenshot_on_a_machine_running_Windows_8.png

Konkreetne tarkvara ei ole kuidagi seotud petturitega. TeamViewer on laialt levinud kaughalduse tarkvara, mida petturid kasutavad tööriistana.

Pettur räägib, kui täbarad lood on ikka sinu masinaga, viidates hirmuvara skannimistulemustele. Alternatiivina soovitavad vaadata arvuti veateadete logisid ning väidavad, et need näitavad samuti pahavara olemasolu.

Pettur jätkab kirjeldamist, kuidas ta teeb sinu masina nüüd puhtaks, muidugi teatud summa eest. Tegelikult eemaldab ta hoopis enda alla laetud hirmuvara. Petturid üritavad saada sinult kohest makset nt Paypal’i kasutades, varastades nii sinu krediitkaardi andmed, sest jälgivad kaughaldustarkvara vahendusel hoolikalt makse tegemist. Sellega jätab pettur mulje, et ta on justkui sangar, kes sind aitab.

Isikuandmete pettus

Teine, levinum ja mitte nii tehniline pettus on petturi palve parooli muutmiseks minna petturi soovitatud lehele. Pettur räägib, et see on Microsofti standardprotseduur nakatunud kasutajate andmete lekke ärahoidmiseks. Juhime tähelepanu, et oma paroole ei tohi kunagi kolmanda osapoole lehekülgedele sisestada, ning kasutajatugi ei viita kunagi lingile, mis asub teises domeenis.

Loo moraal: tasuta lõunaid pole olemas.

Petturid, kes kõne teevad, pole alati teadlikud, mis eesmärgil nad sinu arvutisse tarkvara installivad. Nad on tavalised „üheksast-viieni“ töötajad, kes lasevad kui lindilt üht sama teksti ja installivad tarkvara, mis on neile ette antud. Tõeline pahalane on see, kes kõnekeskuse teenust sisse ostab. Oluline on mõista pettuse tagamaid ja osata selles olukorras käituda.

Kuidas käituda, kui petis sulle helistab?

  1. Kõne tehakse inglise keeles, alustades sõnadega:

„Hi, I’m calling from Microsoft Support” – „Tere, helistan teile Microsofti kasutajatoest!“.

Nüüd tuleks kõne kohe katkestada!

Meenutame, et Microsoft ei helista, kui Sa pole nendega eelnevalt kontakti võtnud.

  1. Teavita oma IT-tugiisikut toimunust, koos järgmiste detailidega:
  • Kõne algusaeg
  • Mis numbrilt helistati?
  • Mis numbrile helistati? (kas isiklik või töönumber?)
  • Kui Sa ei jõudnud kõnet kohe katkestada, siis ka: millisele netiaadressile (URL) sind suunati.

Kui sa ei pannud telefoni hargile ja tegid koostööd petturiga, siis teavita toimunust KOHE oma IT-osakonda või CERT-EE-d (aadressil cert@cert.ee), lisa eelnevalt mainitud detailid. Lisaks sellele kirjelda protsessi, mida pettur sinu masinas tegi, kui sul oli võimalik seda jälgida.

  1. Juhul, kui tegid makse, tühista see kontakteerudes oma pangaga.
  1. Vaheta paroolid, mis võisid ründe käigus lekkida.
  1. Käivita masinas viirustõrjeprogramm.
  1. Eemalda arvuti võrgust, kuniks antiviirus teeb oma tööd.

Räpane lehm CVE-2016-5195

Riigi Infosüsteemi Ameti intsidentide käsitlemise osakond (CERT-EE) kirjutab haavatavusest Linuxi tuumas.

dirty-cow

Allikas: https://www.turnkeylinux.org/blog/dirty-cow-kernel-privilege-escalation-vulnerability

Räpane lehm edaspidi Dirty COW on privileegide eskaleerimise haavatavus Linuxi Kernelis.

Mis on CVE-2016-5195?

CVE-2016-5195 on ametlik viide haavatavusele. CVE (Common Vulnerabilities and Exposures) on infoturbe haavatavuste nimede standard, mida haldab MITRE.

Miks just Dirty COW?

Linuxi Kerneli mälu alamsüsteemist leiti trügimishaavatavus (sündmustevahelist siirdelist ajalõiku nõrkusena ärakasutav rünne), mis käsitles copy-on-write (COW) privaatlugemiseks ainult (read-only) mälu kaardistust (memory mapping). See võimaldab lokaalsel kasutajal mööduda standardsetest failisüsteemi pääsuõigustest ning muuta faile, millele muidu õigused puuduvad.

Mida saan teha?

Tutvu allolevate linkidega ning järgi oma operatsioonisüsteemile vastavaid tegutsemisjuhiseid!

Rohkem infot haavatavate süsteemide kohta leiab allolevatelt linkidelt:

Mis teeb Dirty COW haavatavuse nii eriliseks?

Dirty COW haavatavus on olnud süsteemides 9 aastat ning seda on paigatud ühe korra. Seda on tunnistanud ka Linuxi Kerneli looja ise, põhjendades, et 11 aastat tagasi jäi paikamine poolikuks IBM süsteemide ühilduvusprobleemide tõttu.

mm-remove-gup_flags

Kuvatõmmi

Seega võib spekuleerida, et kasutajatel on olnud võimalus kirjutada privileege eskaleerides ohvri masinasse faile/tagauksi. Samuti on Dirty COW just nüüd erilise tähelepanu all, sest varem paigati see “enam-vähem” põhimõttel, kuid praeguseks on süsteemid arenenenud tohutu kiirusega tehes trügimisründe (sündmustevahelist siirdelist ajalõiku nõrkusena ärakasutamise) võimalikuks.

Kuidas toimib Dirty COW haavatavus?

Idee tõestamisekood (PoC kood) kasutab haavatavuse ära kasutamiseks faili read-only (ainult lugemiseks) olekus.

read-only

Kuvatõmmis

Pärast faili avamist read-only olekus kutsutakse esile mmap funktsioon, mis kaardistab faili mälu kasutades järgnevaid lippe (flags): f (varem avatud fail), PROT_READ (ainult lugemiseks), MAP_PRIVATE (lubab copy-on-write kaardistamist).

map_private

Kuvatõmmis

Mmap lubab nüüd lugeda mälus olevat faili või kirjutada mälus olevale koopiale.

Järgnevalt on vajalik luua kaks lõimu paraleelselt kasutamaks ära trügimishaavatavust. Trügimine selles kontekstis tähendab kahe lõimu sündmustevahelise ajalõigu nõrkusena ära kasutamist.

two-threads

Kuvatõmmis

Selleks on meil loodud lõim nr1 madvise süsteemikutse aitamaks Kernelil leida sobiv ettelugemise ja puhvri loomise võimalus. See on kriitiline osa haavatavusest. Madvise lõimule antakse kaasa lipp, mis paigutab Kernelile antava teabe: kuidas kaardistada mälu nii, et see ei kasutaks ära 100 biti mäluaadressil.

madvise

Kuvatõmmis

Need 100 bitti, mille kasutamist ei oodata, võib üle laadida uue sisuga, juhul kui peaks toimuma bittide samasse mäluvähemikku sattumine.

madv_dontneed

Kuvatõmmis

Lühidalt on võimalik eirata mälukaardistamise häid tavasid ning kasutada trügimist, tekitamaks olukorda, kus kasutaja sisend kirjutatakse originaalfaili, mitte enam mälus olevasse koopiasse.

Kas on oodata Dirty COW paika?

Jah, see on juba valmis. Paik sisaldab endas ainult kolme rida koodi.

paik

Kuvatõmmis

Esemevõrgu turvalisusest

Riigi Infosüsteemi Ameti analüütik Anto Veldre kirjutab hiljutistest sündmustest Ameerikas.

kuvapauk

Allikas: http://www.itproportal.com/2016/04/14/industry-analysis-does-iot-security-still-have-further-to-go/

Läinud nädalavahetusel tegi maailmas ilma Mirai zombivõrk.

Allpool räägime sellest, mis see Mirai täpselt on ning kuhu see maailma arengut suunab.

DDoS

DDoS tähendab – Distributed Denial of Service.

huge-tsunami

Allikas: http://www.survivingtheaftermath.com/index.php/disaster-survival-guide/48-could-a-tsunami-hit-the-east-coast-united-states

Moodsal ajal ei avaldata poliitilist arvamust enam seapea kinnitamisega väravale ega ka mitte munakivide viskamise või põleva voodoo-nuku paigutamisega akna taha. Selle asemel leitakse Internetist mingi (ripakil) ressurss, programmeeritakse see oma tahtmist täitma ning vajutatakse „suurt punast nuppu“. Ülejäänu toimub peaaegu automaatselt.

Ei ole võimalik ehitada infoühiskonna teenust, mille ressurss oleks lõputu. Kui vaid leidub piisavalt palju munakive, mida loopida, siis kooleb lõpuks nii server kui läheb umbe serverit teenindav netiühendus. Nii lihtne see ongi. Mistõttu on DDoSi näol tegemist pigem juhtimisprobleemiga – kuidas veenda hanguga mehi mõisa ette kogunema.

Krebs

Ameerikas elab ajakirjanik nimega Brian Krebs. Tema põhitegevus on kommenteerida omanimelises blogis infoühiskonna turvapoolt. Seda tööd teeb mees juba mitu aastat.

krebs

Allikas: https://krebsonsecurity.com/about/

Sel sügisel andis Krebs netis järjekordse hinnangu, mille tagajärjel pahad onud tinistasid Krebsi internetitoru (triiki) täis. Rünnaku laiuseks mõõdeti 665 Gigabitti (!) sekundis. Ennekuulmatu number. Kusjuures sihtmärgiks oli eraisiku blogi.

Paar päeva hiljem ajas Krebs jäljed välja. Nimelt publitseeris tädi-Anna Jaapanist zombivõrk Mirai lähtekoodi. Mirai on ussitunnustega kood, mis logistab koduruuterite ukselinke ning kui selgub, et keegi on külmkapi või valvekaamera avalikku netti kommuteerinud, asub neisse seadmetesse elama.

Reedel, 21. oktoobril 2016 lõi Mirai uuesti laineid. Vastu Eestit mitte niivõrd, kuid vastu USA idakülge ja Euroopat päris korralikult. Twitter voolas aeglaselt nagu meil Postimees aastal 2007, Paypal samuti. Kaarti vaadates paistab, et ründajaid Eestist eriti pole – ju on meie ISP’d juba keskmisest paremal tasemel.

Mis juhtus?

Mirai zombivõrgu soldatid kogu maailmast tümitasid DNS serveriteenuse pakkujat Dyn (kunagi sai DynDNS’ist koduvõrgu jaoks tasuta domeeninimesid). Täna pakub Dyn klassikalist kommertsiaalset nimeserveriteenust. Ja kui nimelahendus netist puudu, siis ei oska kliendi sirvik Paypal’i maksma minna. Teistpidi võttes, rünnak oli nii ulatuslik, et mõned torud said täis ja siis hakkasid Interneti ruutingud automaatselt “flippima” ehk ringi uitama.

Aga kes tegi? Ilmselt on lugu sarnane kui vanadel eestlastel, kes eelistasid karu ja hundi nime pigem mitte suhu võtta ning rääkisid ebamääraselt mingist mesikäpast ja kellestki võsavillemist. Arvata on, et keskmise kooliõpilase rikutus oli selle rünnaku planeerimiseks ebapiisav.

Esemevõrk

Ühel teisel ameeriklasel küttis reedene rünnak kodu päris kuumaks, selle sõna otseses tähenduses, sest temperatuuriandur ei leidnud DNS tõrke tõttu oma emmet üles ja kontroller otsustas, et ju siis on piisavalt külm. Hea, et maja põlema ei köetud.

kuum

Allikas: https://twitter.com/ow/status/789515155877027840

Kuigi nimetust IoT on leida kõigist moodsatest arengukavadest, siis keegi ei tea täpselt, mis see on.

Kindlasti kuuluvad siia alla:

Ei ole päris selge, kas peaks IoT seadmete alla liigitama ka odava koduruuteri. Üheks ohuks on, et kui kodutarbija oma kodu IoT seadmeid täis ostab, siis need paluvad ruuteril kaitsesse sisenevaid auke teha – uPNP nimelise võrguprotokolli abil. Teiseks ohuks on odavruuter ise – mugavaks klienditoetamiseks jätavad mõned tootjad odavruuteritesse hunniku tagauksi. Lohutuseks kodukasutajatele – jõledaid tagauksi, kuigi hoopis teisel eesmärgil, esineb ka profiseadmetes. Häda selles, et kui firmas ongi töötaja, kes uudiseid jälgib ja turvaparandusi paigaldab, siis kodus ei tegele sellega küll keegi.

Mirai

Mirai põhiülesanne on murda sisse Linuxit jooksutavasse, kuid piisavalt turvamata seadmesse. Pole ju eriline kunst siseneda seadmesse, mille kasutajanimi on “pi” ja parool “raspberry” või admin/password.

Kuniks säärased nutuseadmed püsivad tagatoas vagusi, pole root/12345 tüüpi võtmetest suurt kahju. Kuid kui ese oskab pilti edastada ning nõuda koduruuterilt uPNP (nagu irvhambad ütlevad – Universal Plug and Pray) protokolli kaudu kopliväravate avamist, siis ongi võsavillem kohe kohal.

Mirai teeb endale Linuxisse pesa ning asub ootama peremehe korraldusi. Kui saabub rünnakukorraldus, siis tulistab Mirai sihtmärgi kummuli. Halvima vältimiseks on Mirai varustatud USA armee IP-aadressidega, et neid kogemata mitte tulistada (parem karta kui saada Tallinna manuaali kohaselt ära droonitatud).

Koduvõrk

Ajad, mil sai kodused seadmed turvaliselt IPv4 NAT’i taha ära peita, on pöördumatult möödas. Kes seda lauset ja neid termineid (IPv4, NAT) ei mõista, neil on tõenäoliselt mure majas. Hetkel toimub üleminek järgmise põlvkonna internetiprotokollile – kuid IPv6 levib koduvõrgus hoopis teiste põhimõtete järgi. Iga turvaauk jõuab otseteed avalikku Internetti.

Teiseks aga, mugavuse eest tuleb maksta. Kui Sul on Samsungi telekas ja Samsungi telefon, siis saab neid kokku ühendades uue kvaliteedi. Ühtlasi avad Sa tootjafirmale vaatamiseks ja näppimiseks kogu oma koduvõrgu… vahel ka häkkeritele. Turvaviga teleka sees võib põhjustada Sinu kodu ülevõtmise häkkerite poolt… hakkavad veel teleka kaamerast Sinu diivanil toimuvat jälgima vms.

Kolmandaks, maksta tuleb ka ihade eest. Kui Sul on kodus lapsi, kes vajavad arvutimängudeks “võrguportide” avamist, siis arvesta mõningate lisariskidega. Ruuter kas avab uPNP abil porte iseseisvalt (kõike, mida küsida, avab) või jääb oht, et miski krokodill siseneb käsitsi lahtitehtud august. Näiteks august, mille kaudu vaatan oma koduvalve pilti.

Paraku ei ole kodukasutajatel veel neid sügavaid teadmisi võrguprotokollidest, mis firmade ja riigiasutuste võrguadministraatoritel.

cuamptrumaazkcs

Allikas: https://twitter.com/kwestin/status/785497979637538816

Arengud

Ilmselt nõuab koduvõrgu turvamine hoopis mitmetahulisemat lähenemist kui keskmine kodukasutaja täna suudab. Võiks isegi öelda, et kodulahendus hakkab üha enam sarnanema väikefirma lahendusele. Teenusena seda täna keegi ei paku, kuid siinkohal kirjeldame selle lahenduse üksikuid elemente:

* Segmenteerimine. Koduvõrguski võiks olla mitu üksteisest tulemüüriga eraldatud segmenti: töötegemiseks, nutitamiseks, külalisWiFi ning eraldi liivakast anduritele ja ebaturvalistele IoT seadmetele. Siis on tagatud, et ühte segmenti sissemurdmine ei anna häkkerile kontrolli ülejäänud võrgu üle.

* Riistvaraline tulemüür – näiteks vana arvuti ja pfSense baasil. Oleme ausad, täna koduperenaine seda üles seada ja häälestada ei suudaks.

* Võrgu segmenteerimine. Teenusepakkuja WiFi võib julgelt välja lülitada ning asendada 2–3 eraldi WiFi segmendiga. Üks endale, üks lastele, üks külalistele. Mis see kõik maksma läheb, parem ei ennusta.

* Odavate nudikommutaatorite (switch) asemel võiks kasutada korralikke SNMP toega profikommutaatoreid. 1Gbit/s kiirusel jääb hind 100–200€ vahele, kuid saab võimalikuks monitooring (cacti) ja tõhus kontroll iga üksiku võrgupesa üle.

* sisenev VPN – see võimaldab tänaval jalutades pruukida ka võõraid ja ebaturvalisi WiFi purke.

Alternatiiv on igasugune IoT oma kodust minema põrgatada. Minu teleka Etherneti pesal on senimaani kleeps peal, sinna pole veel kunagi ühtki pistikut ühendatud. Ajalugu on paraku näidanud, et masinapurustamine ja tehnoloogilise progressi eiramine annab vaid ajutise edumaa.